2024-07-01 微信公众号精选安全技术文章总览

洞见网安 2024-07-01

0x1 俄罗斯远控工具DarkCrystal RAT（DC RAT)(黑暗水晶)破解版——附简单使用教程

法克安全 2024-07-01 22:47:12

DarkCrystal RAT（DC RAT），亦称为“黑暗水晶”，是一种源自俄罗斯的商用级后门软件，由几位开发者以化名“boldenis44”、“crystalcoder”和“Coder”进行开发和维护。该软件采用.NET框架编写，具备全面的后门功能。首次亮相于2018年，并在一年后进行了重构和重新发布。DCRAT的特点在于其模块化架构和自定义的插件框架，这使得它能够执行包括监视、侦察、信息窃取、分布式拒绝服务（DDoS）攻击以及多语言动态代码执行等多种恶意活动。该软件在俄乌网络战中曾被用作秘密武器，并针对乌克兰政府和军事人员发起网络攻击。使用该软件的简单教程包括解压软件包、在外网机器上以管理员身份运行批处理文件以开启PHP服务、访问安装脚本进行密码设置，并将生成的URL和密码输入DCRAT客户端以登录。软件的具体生成、测试和上线问题需要用户自行研究。获取该软件的方式是通过关注公众号并在后台回复“DCRAT”来获取。

    远控工具 后门软件 网络攻击 DDoS攻击 信息窃取 网络安全 恶意软件 教程

0x2 如何缩短人工分析样本的时间

OnionSec 2024-07-01 21:49:03

本文详细讨论了网络安全研究中安全研究与恶意软件分析的区别与联系，强调了投入与产出的合理性。作者提出，在面对大量恶意软件样本时，应避免每个样本都进行完整的人工分析，而应专注于解决具体问题，如“沙箱行为释放不全”。文章通过一个实际案例，展示了如何通过假设验证和实验来定位问题，使用了DBI工具和API Monitor工具来辅助分析。作者强调了避免手工分析样本，提高效率的重要性，并介绍了沙箱的工作原理。最终，通过人工分析，作者发现样本并没有反沙箱策略，而是因为异常的API调用和网络请求内容错误，判断为测试程序。文章总结了通过这种方法可以缩短分析样本的时间，并希望这种解决问题的思路能对读者有所帮助。

    恶意软件分析 网络安全研究 反沙箱策略 自动化工具 网络行为分析 C++异常处理 样本测试文件 沙箱技术

0x3 SSH-RCE（CVE-2024-6387）

黑白防线 2024-07-01 21:48:47

OpenSSH（Open Secure Shell）是一套开源工具，用于加密网络通信，提供安全的远程登录、文件传输和端口转发功能。它实现了SSH协议，确保网络通信的机密性和完整性，有效防止窃听和中间人攻击。OpenSSH常用于Linux、BSD和macOS等操作系统，支持多种身份验证方式，如密码、公开密钥和双因素认证。该套件包含如ssh、scp和sftp等常用工具，是系统管理员和用户确保安全连接的首选。OpenSSH远程代码执行漏洞(CVE-2024-6387)，该漏洞是由于OpenSSH服务器 (sshd) 中的信号处理程序竞争问题，未经身份验证的攻击者可以利用此漏洞在Linux系统上以root身份执行任意代码。受影响版本8.5p1 <= OpenSSH < 9.8p1。漏洞复现需要使用特定的POC代码，并将其编译成可执行文件。例如，使用gcc命令编译名为exploit.c的文件，然后执行生成的文件，传入目标IP地址和端口。

    漏洞 OpenSSH RCE 安全工具 漏洞利用 漏洞修复

0x4 漏洞复现 | 迈普多业务融合网关send_order.cgi远程命令执行漏洞【附poc】

实战安全研究 2024-07-01 21:22:33

    漏洞复现 远程命令执行漏洞 网络安全防护 漏洞检测 漏洞修复

0x5 【绝对干货】TrueUpdate类变种-银狐木马实战详解

平航科技 2024-07-01 20:05:30

本文是关于“银狐木马”的实战分析技术干货。首先，对目标程序进行查壳和脱壳处理，随后进行动态行为分析，发现释放文件、执行程序、网络请求等行为。通过网络请求，判断样本属于“银狐”木马。样本程序使用“TrueUpdate”进行打包，而“TrueUpdate”是IndigoRose公司开发的用于打包的安装程序，允许用户自定义lua脚本进行自动化操作。文章详细介绍了如何逆向TrueUpdate以获取解压密码，并分析了lua脚本中的Shellcode。Shellcode主要利用动态加载方式获取API函数，并解密“edge.xml”文件进行内存加载。进一步分析发现，恶意dll加载器会进行权限维持，并解密“edge.jpg”进行内存加载。最后，文章提供了详细的解密过程和核心算法，以及对最终的木马行为的总结。

    木马分析 TrueUpdate打包程序 恶意软件 逆向工程 网络安全

0x6 SQL注入之二次注入

小杨学安全 2024-07-01 19:16:47

这篇文章主要讨论了SQL注入攻击的一种特殊形式：二次注入。二次注入是一种相对隐蔽的漏洞，攻击者通过构造恶意SQL语句并将其存储在数据库中，然后通过读取和查询这些恶意语句来触发攻击。文章以一个实际的靶场演示为例，详细解释了如何发现和利用这种漏洞。同时，文章还分析了相关的代码，并提出了一些防范二次注入的建议，包括使用MySQLi参数化更新和对所有输入进行过滤和转义。

    SQL注入 网络安全 Web安全 数据库安全 代码审计 防护措施

0x7 S2-061 Struts2远程代码执行漏洞复现 （POC详解）

红队蓝军 2024-07-01 18:10:31

0x8 web选手入门pwn(16) ——house of husk

珂技知识分享 2024-07-01 18:03:04

之前的堆题基本都是用fastbin做的，没有fastbin怎么办呢。这里介绍了一种largebin攻击——house of husk

0x9 Windows和Java环境下的redis未授权利用

NullError Sec 2024-07-01 16:34:43

0xa Linux中控制正在运行进程的优先级原理和过程

二进制空间安全 2024-07-01 14:49:55

本文详细介绍了Linux操作系统中进程优先级的控制原理和操作过程。Linux内核包含一个调度程序，负责选择最合适的进程执行。进程的优先级分为两个范围：niceness值和实时优先级。Niceness值范围从-20到19，默认值为0；实时优先级默认范围是1到99。用户可以通过ps、top或htop等工具查看进程的nice值，以及PR或PRI值显示的进程优先级。Nice值是用户空间的概念，而PR或PRI值是内核空间的概念。Nice值和PR或PRI值之间的关系可以通过公式PR=20+NI计算得出。如果需要调整正在运行的进程的优先级，可以使用nice命令在启动时设置，或者使用renice命令动态更改。普通用户只能降低自己进程的优先级，而提升优先级通常需要root权限。Renice命令还提供了修改特定进程、用户进程或进程组优先级的功能。

    操作系统安全 系统管理 权限控制 进程管理

0xb 远控工具BRC4 1.4.5破解版——附简单使用教程

棉花糖网络安全圈 2024-07-01 12:50:32

本文介绍了如何撰写高质量的论文摘要，并提供了实用建议和高分案例。首先，文章区分了两种类型的摘要：描述性摘要和信息性摘要。描述性摘要通常较短，50-100字，主要用于文献综述、书评或会议报告等，概述论文的背景、目的和范围，而不提供具体研究结果。信息性摘要则详细介绍论文的背景、问题、方法、结果和结论，是论文的缩略版，包含所有关键信息，适用于实证研究、理论分析或案例研究的文章。此外，文章还提到中文摘要字数应控制在200-300字之间，英文摘要则控制在250个实词左右。AI技术的应用使得自动生成文章摘要变得更加便捷，用户只需输入完整的文案内容即可一键获取文章摘要。总之，撰写论文摘要需要简洁、完整，并且能够独立成文，帮助读者快速了解文章的主要内容和贡献。

    网络安全 恶意软件 法律合规 技术教程 安全风险

0xc 【实战】log4j2绕过jdk高版本拿shell

云鸦安全 2024-07-01 12:09:50

在某次项目中扫到了一个log4j2漏洞，立马拿着常用工具一顿猛梭，结果发现该站用的是jdk8，且版本高于1.8.0_191。。。

0xd 不知几DAY的Symfony---RCE复现

我不懂安全 2024-07-01 12:00:17

本文是关于Symfony框架中的一个远程代码执行（RCE）漏洞的复现分析。Symfony是一个流行的PHP Web框架，被多个知名CMS系统所采用。文章指出，在Symfony的低版本中存在一个使用默认密钥的问题，这可能导致RCE漏洞。作者详细介绍了Symfony的内置功能之一，即处理Edge-Side Includes（ESI）的类。这个功能在处理请求时会根据GET参数设置请求属性，但如果未正确使用HMAC值对请求进行签名，就可能执行任意PHP代码。文章说明了在不同版本中攻击者如何获取密钥，并提供了Symfony 3.4.1版本的环境安装步骤。接着，作者展示了如何通过特定的URL请求执行phpinfo函数，强调了在构造请求时需要注意的签名编码问题。最后，文章提到了获取shell的难点，包括找到可利用的函数和解决编码问题，并提供了两个参考链接以供深入研究。

    信息安全技术网络基础安全技术要求

0xe 利用云助手进行演练和黑产攻击事件频发

微步在线研究响应中心 2024-07-01 11:55:24

文章主要讨论了利用具备“远控”功能的合法软件进行攻击的事件，包括真实的黑产攻击和攻防演练活动。文章指出，相关攻击事件涉及阿里云助手、长亭云助手、IP-Guard、山东固信、360云管理等合法软件，这些软件具有正常的数字签名和服务域名，导致攻击具有较强的隐蔽性。文章还分析了攻击者的手法，包括伪装成试用客户获取远控程序安装包，修改程序名进行钓鱼攻击等。此外，文章还提供了应对这些攻击的建议，包括更新威胁情报包、严格审核文件传播、进行安全培训等。最后，文章还详细分析了一个样本，包括其基本信息、功能描述和详细分析。

    云助手滥用 数字签名滥用 隐蔽性攻击 攻防演练 黑产攻击 威胁情报 安全建议

0xf CTF-密码学题目解析之SM4

攻防SRC 2024-07-01 10:32:02

Strange SM4

0x10 浅谈解密HTTPS数据包

kali笔记 2024-07-01 10:16:24

本文介绍了如何使用Wireshark等工具对HTTPS数据包进行解密。HTTPS是为了解决HTTP数据传输未加密的问题而引入的，通过SSL/TLS协议提供加密和身份验证。文章首先展示了在Wireshark中正常情况下HTTPS数据包是加密的。接着，详细说明了解密HTTPS数据包的步骤，包括设置SSLKEYLOGFILE变量、使用tcpdump命令抓取数据包、将生成的ssl.key文件与https.pcap文件传输到Windows系统上，并在Wireshark中配置TLS设置以导入ssl.key文件进行解密。文章还解释了解密过程中的关键步骤，即通过服务器私钥提取预主密钥，结合客户端和服务器随机数生成主密钥，进而生成加密密钥以解密后续报文。最后，文章推荐了其他相关的历史文章，鼓励读者关注以获取更多网络安全知识。

    网络安全 加密解密 网络协议 网络工具 数据安全

0x11 总结|教育行业渗透打点

白帽子社区团队 2024-07-01 10:11:47

七一建党节，祝我党生日快乐！\x0a本文对教育行业网站的渗透打点的一些总结

0x12 【天锐绿盾加密软件】企业文件防泄密

天锐数据安全 2024-07-01 10:02:13

文章介绍了天锐绿盾加密软件，该软件主要功能包括文件安全保护、桌面终端管控和操作行为审计。文件安全保护功能有强制加密保护，支持多种文件格式如Word、Excel、PowerPoint、AutoCAD等，文档内容保护，阅读权限隔离和文件外发管理。桌面终端管控功能包括记录操作日志，应用程序使用限制，规范硬件使用如U盘、打印机、光驱、蓝牙等，合理分配流量和资产管控。操作行为审计功能包括文件操作日志，文件外发记录，网页浏览记录，程序使用日志和屏幕追踪录像。这些功能共同帮助企业实现文件防泄密，提高网络安全。

    文件加密 权限管理 终端管控 硬件管理 流量控制 资产审计 操作行为审计 数据泄露防护

0x13 免杀系列  Frp免杀+二开思路

TeamSecret安全团队 2024-07-01 09:30:11

本文是关于网络安全工具Frp的免杀和二次开发思路的讨论。Frp是一个高性能的反向代理应用，专注于内网穿透，支持多种协议，包括TCP、UDP、HTTP和HTTPS。它还可以通过具有公网IP的节点中转，将内网服务安全地暴露到公网。然而，Frp在使用过程中存在一些特征，如通信过程中的明文信息、IP地址和认证口令等，这些特征可能会被杀毒软件检测到。为了解决这个问题，文章提出了一些修改Frp特征的方法，如修改Golang包特征、流量特征、通信数据包的banner等，以达到免杀的效果。此外，文章还讨论了如何添加配置文件自删除功能，以及如何在不触发警报的情况下进行有效的内网渗透。

    网络安全工具 免杀技术 内网渗透 数据加密 网络安全培训 网络安全社区 网络安全法律与伦理

0x14 vulnhub之nezuko的实践

云计算和网络安全技术实践 2024-07-01 08:57:57

本文是关于在Vulnhub平台上对'nezuko'靶机的渗透测试实践记录。作者首先使用VirtualBox导入了nezuko镜像，并利用netdiscover工具扫描得到靶机IP地址为192.168.0.183。随后，通过nmap工具对靶机进行端口扫描，发现13337端口上运行着Webmin服务，版本为1.920。作者利用searchsploit查询到该版本Webmin的远程代码执行漏洞，并复制漏洞利用脚本到当前目录。通过查看和修改脚本，作者在其中添加了反弹shell命令，并通过nc工具在Kali攻击机上设置监听，成功利用该漏洞获取反弹shell。进一步，作者通过python3脚本将shell转换为交互式，并查看了/etc/passwd文件，获取了zenitsu账户的hash密码。使用john工具进行密码破解后，作者得到了zenitsu账户的用户名和密码。登录后，发现message_to_nezuko.sh脚本具有root权限且每5分钟自动执行一次。作者利用msfvenom生成反弹shell脚本并添加到该脚本中，通过再次设置监听，成功获得了root权限的反弹shell，完成了对靶机的完全控制。

    漏洞利用 网络扫描 提权 密码破解 反弹shell 靶场实践

0x15 针对一个使用DNS隧道通信高度混淆钓鱼样本的详细分析

安全分析与研究 2024-07-01 08:19:20

这篇文章详细分析了一个高度混淆的钓鱼样本，该样本通过DNS隧道通信技术进行恶意活动。样本伪装成简历和专利信息，针对公司HR进行钓鱼攻击。分析显示，样本编译于2024年1月9日，冒充腾讯应用宝程序，并通过修改程序资源数据增加加密恶意代码。恶意代码包括大量混淆和字符串加密，增加分析难度。样本执行时会检查并结束安全分析工具进程，使用DNS隧道技术通信，并与远程服务器建立连接。此外，样本还会在受害者电脑上生成并打开一个诱饵文档，以迷惑受害者。该样本可能是某红队攻击样本，展示了高级攻击技术，强调了安全研究人员需要不断提升自己的安全能力以应对持续的安全威胁。

    钓鱼攻击 恶意软件 混淆代码 DNS隧道通信 红队攻击 安全分析 威胁情报

0x16 Brad Soblesky.2 逆向分析&注册机编写

白帽学子 2024-07-01 08:11:59

逆向分析

本站文章为人工采集，目的是为了方便更好的提供免费聚合服务，如有侵权请告知。具体请在留言告知，我们将清除对此公众号的监控，并清空相关文章。所有内容，均摘自于互联网，不得以任何方式将其用于商业目的。由于传播，利用此文所提供的信息而造成的任何直接或间接的后果和损失，均由使用者本人负责，本站以及文章作者不承担任何责任。

原文始发于微信公众号（洞见网安）：网安原创文章推荐【2024/7/1】